TechCrunch 获悉,黑客入侵了一个允许人们买卖枪支的网站,暴露了其用户的身份。
该漏洞暴露了超过 550,000 名用户的大量敏感个人数据,包括客户的全名、家庭住址、电子邮件地址、明文密码和电话号码。此外,据称被盗数据可以将特定人员与特定武器的销售或购买联系起来。
“有了这些数据,你就可以公开上市……并将其解析回[被盗数据库中的数据],这样你就有了[卖家]的姓名、电子邮件、实际地址和电话号码,大概还有枪,”网络安全专家特洛伊·亨特 (Troy Hunt) 告诉 TechCrunch,他运营着流行的数据泄露存储库和警报服务Have I BeenPwned 。 (发现漏洞的研究人员与亨特分享了数据,这样他就可以将其上传到 Have I BeenPwned。)
去年年底,一位要求保持匿名的安全研究人员发现了一个包含数据的服务器,结果证明该服务器被一名黑客(或一群黑客)使用,他们正在使用该服务器存储被盗数据。服务器没有任何系统保护来限制或控制谁可以访问它,因此研究人员下载了数据并进行了分析。
他发现的是从GunAuction.com网站获取的数据,该网站自 1998 年以来允许人们在线拍卖枪支。
GunAuction.com 截图
TechCrunch 分析了被盗数据的样本,并通过电子邮件联系了 100 人,通过电话联系了 60 人。其中,有 10 人确认被盗数据库中包含的数据是准确的。然而,目前尚不清楚数据的最新程度,因为我们的邮件有 25 个电子邮件地址被退回或无法送达,并且有几个电话号码也已断开连接。
GunAuction.com 首席执行官曼尼·德拉克鲁兹 (Manny DelaCruz) 在一封电子邮件中证实了这一违规行为。
德拉克鲁兹在声明中写道:“我可以确认,美国联邦调查局最近就可能影响我们公司的数据泄露事件联系了我们。” “该漏洞可能暴露了个人客户信息,如姓名、地址和电子邮件地址。但是,我们想向我们的客户保证,我们没有理由相信在违规期间访问了任何财务信息。我们建议我们的客户保持警惕,并监控他们的财务账户和信用报告,以发现任何可疑活动。”
DelaCruz 补充说,“我们的目的是尽快通知受影响的用户。”
这不是枪支拥有者的敏感数据第一次被曝光。去年,加利福尼亚州司法部错误地泄露了个人数据,“包括枪支拥有者的姓名、生日、地址、年龄、购买日期和他们持有的枪支许可证类型,以及他们的犯罪识别指数编号,这些编号用于跟踪州和联邦犯罪记录,”根据 Gizmodo 的说法。
您是否有关于此违规行为的更多信息?或者类似的违规行为?我们很乐意听取您的意见。在非工作设备上,您可以通过 Signal 安全地联系 Lorenzo Franceschi-Bicchierai,电话 +1 917 257 1382,或通过 Wickr、Telegram 和 Wire @lorenzofb,或发送电子邮件至 [email protected]。您还可以通过SecureDrop联系 TechCrunch。
黑客从Lorenzo Franceschi-Bicchierai最初发表于TechCrunch 的枪支拍卖网站窃取枪支拥有者的数据
原文: https://techcrunch.com/2023/03/02/hackers-steal-gun-owners-data-from-firearm-auction-website/